Среда, 26.07.2017, 01:49 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Свой FireWall (Как блочить определенный exe от отсылки данных в сеть)
Свой FireWall
AndroidДата: Четверг, 27.11.2014, 10:37 | Сообщение # 1
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
Всем привет.

Товарищи подскажите, может кто сталкивался с такой ситуацией, что нужно на время отрезать определенный экзешник от сети, но без применения сторонних утилит? Я вот наткнулся на интересный компонент в сети, который показывает какие приложения в с еть стучатся или слушают порты, он платный и я даже бы его купил (стоит 30$) но сайт разработчика уже прикрылся. Вот компонент (worms1 в аттаче).

Еще нагуглил вариант компонента (magmonsock) с применением драйвера WinPCAP. Как думаете, его присутствие в системе может вызвать подозрение у человека? Если кто пользовался, подскажите пожалуйста, можно ли с его помощью определить, какое приложение шлет пакет в сеть и не пустить либо подменить от определенного ехе?
Прикрепления: worms1.zip(75Kb) · magmonsock13.zip(1937Kb)


Сообщение отредактировал Android - Четверг, 27.11.2014, 10:38
 
xXxSh@dowxXxДата: Четверг, 27.11.2014, 17:08 | Сообщение # 2
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Да, WinPCAP входит в состав многих снифферов, но этого мало для хорошего функционала, не говоря уже о шифрованных пакетах в траффике SSL и тп.
 
Anton93Дата: Четверг, 27.11.2014, 18:16 | Сообщение # 3
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Android,

Цитата
отрезать определенный экзешник от сети, но без применения сторонних утилит?


это как? wacko штатными средствами если только. встроенный firewall.

Цитата
применением драйвера WinPCAP. Как думаете, его присутствие в системе может вызвать подозрение у человека?


даже многие опытные кодеры в kernel не лазают, что уж говорить о простых юзерах. Но у драйвера должна быть действующая цифровая подпись, иначе без шансов его внедрить на современных ОС.

Цитата
какое приложение шлет пакет в сеть и не пустить либо подменить от определенного ехе?


есть старый добрый метод с перехватом API через dll inject. им можно хучить функции для работы с сетью и ловить все процессы. правда придется загрузиться во все процессы. но так куча вирусов делают wink


ICQ: 41896
 
AndroidДата: Пятница, 28.11.2014, 17:41 | Сообщение # 4
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
Цитата Anton93 ()
штатными средствами если только. встроенный firewall.

Ребята, ну вот подскажите как реализовать функционал фаервола в своей проге по недопуску в сеть чужого ехе?

Мне нужно на определенный период делать так, чтобы чужое приложение не могло ничего передать по сети. Причем оно использует для этого модем, хотя сам комп еще через сетевуху в локалке висит. Вообще кто-то пробовал отсылать данные через конкретный сетевой интерфейс? Вообще как это можно выбирать, через какое оборудование к сети подключаться, кто-то знает?


Сообщение отредактировал Android - Пятница, 28.11.2014, 17:43
 
XSPYДата: Понедельник, 01.12.2014, 12:31 | Сообщение # 5
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
Android, написать фильтр в юзермоде через WFP или же в кернеле. и с NDIS приблудами кстати. смотря под какую ОС и задачи

Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
delfcode » Delphi » Вирусология Delphi » Свой FireWall (Как блочить определенный exe от отсылки данных в сеть)
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz